TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM

Khoa Mạng Máy Tính Và Truyền Thông

----------

BÁO CÁO ĐỒ ÁN
XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN CHO
DOANH NGHIỆP

GIẢI PHÁP DATA LOSS PREVENTION

CHO DOANH NGHIỆP

GIÁO VIÊN HƯỚNG DẪN: NHÓM SINH VIÊN THỰC HIỆN:

ThS. Nguyễn Duy 1. Tống Duy Tân - 12520379
2. Lâm Vĩ Phượng - 12520331
3. Đỗ Bảo Thành - 12520396
4. Nguyễn Phạm Thủy Ngân -
12520282

TPHCM, 12/2015
Lời mở đầu
Các tổ chức, doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần được bảo vệ chặt chẽ
như thông tin khách hàng, bí mật công nghệ, chiến lược phát triển kinh doanh, hay các tin tức
nhạy cảm khác,… Những thông tin này nếu để lộ ra ngoài có thể gây các hậu quả nghiêm trọng
đến tài chính, danh tiếng của công ty và quan hệ với các đối tác của TC/DN.
Nhiều người cho rằng TC/DN của mình đã trang bị nhiều giải pháp an ninh bảo mật như tường
lửa, chống virus, chống xâm nhập… nên có thể ngăn ngừa thất thoát thông tin. Các giải pháp an
ninh truyền thống như firewall, IPS, Anti- virus... giúp nhận diện và ngăn ngừa các tấn công, mã
độc hại... nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm, dữ liệu nào cần
bảo vệ. Vì thế cần xây dựng một giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP
(Data Loss Prevention) giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chính
xác chính sách đối với các loại thông tin và người được quyền sử dụng thông tin.
Bài báo cáo này sẽ giới thiệu giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP (Data
Loss Prevention) là một giải pháp ngăn ngừa hiệu quả mất mát thông tin nhạy cảm, bí mật của
TC/DN.
Nội dung bao gồm:
Phần 1: Tổng quan về DATA LOSS PREVENTION (DLP)
Phần 2: Phân tích và đánh giá mô hình mạng hiện tại
Phần 3: Thiết kế hệ thống mới
Phần 4: Xây dựng qui trình và chính sách bảo mật
Phần 5: Kết luận
MỤC LỤC
PHẦN 1. TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) .............................. 5
1.1. Khái niệm về DLP ................................................................................................... 5
1.2. Các con đường dẫn đến mất mát dữ liệu.................................................................. 6
1.3. Hiện trạng mất mát dữ liệu trong doanh nghiệp .................................................... 10

PHẦN 2. PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI ................... 13
2.1. Những điểm yếu về bảo mật .................................................................................. 13
2.2. Những rủi ro về mất mát dữ liệu ............................................................................ 14
2.2.1. Từ attacker ...................................................................................................... 15
2.2.2. Từ nhân viên ................................................................................................... 16
PHẦN 3. THIẾT KẾ HỆ THỐNG MỚI ....................................................................... 17
3.1. Mô hình tổng quát .................................................................................................. 17
3.2. Các giải pháp công nghệ được sử dụng ................................................................. 17
3.2.1. Giải pháp IDS/IPS security trong mạng LAN ................................................ 17
3.2.1.1. Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion
Prevention System) ............................................................................................... 18
3.2.2. Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite ......... 20
3.2.3. Giải pháp backup dữ liệu sử dụng hệ thống SAN....................................... 21
3.2.4. Giải pháp web security ................................................................................... 23
3.2.4.1. Giới thiệu giải pháp.................................................................................. 23
3.2.4.2. Triển khai ................................................................................................. 24
3.2.5. Giải pháp email security ................................................................................. 25
3.2.5.1 Giải pháp GFI Archive 2015.................................................................... 26
3.2.5.2 Giải pháp GFI MailEssentials 2015 .......................................................... 27
3.2.5.3 Giải pháp quản lý hoạt động của user – Spector360 ................................. 29
3.2.5.4 Giải pháp mã hóa email với iSafeguard .................................................... 31
3.2.6. Giải pháp file security ..................................................................................... 32
 3.2.6.1. Triển khai DFS Replicate và DFS Namespace lên server. ...................... 32
3.2.6.2. Sử dụng Audit Policy ............................................................................... 33
3.2.6.3. Sử dụng NTFS Permission....................................................................... 33
3.2.6.4. Sử dụng Backup & Restore để sao lưu dữ liệu định kỳ và phục hồi khi cần
thiết. ........................................................................................................... 34
3.2.6.5. Sử dụng Quota để giới hạn dung lượng sử dụng trên ổ đĩa File server. .. 34
3.2.6.6. Sử dụng Shadow Copies để sao lưu và phục hồi dữ liệu bị xóa, thay đổi
tạm thời. ........................................................................................................... 35
3.2.6.7. Một số giải pháp khác .............................................................................. 35
PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT ........................ 37
4.1. Xây dựng qui trình ................................................................................................. 37
4.1.1. Xác định đối tượng ......................................................................................... 37
4.1.2. Xác định mục tiêu ........................................................................................... 37
4.1.3. Xác định phương pháp .................................................................................... 38
4.2. Xây dựng chính sách .............................................................................................. 39
4.2.1. Quản lý thiết bị ............................................................................................... 39
4.2.2. Quản lý con người........................................................................................... 43
4.2.3. Quản lý truy cập .............................................................................................. 46
4.2.4. Quản lý thông tin ............................................................................................ 47
3.3.3.7. Phân loại thông tin ................................................................................... 47
3.3.3.8. Chính sách quản lý thông tin.................................................................... 48
PHẦN 5. KẾT LUẬN ..................................................................................................... 49
5.1 Những điểm đạt được.............................................................................................. 49
5.2 Những điểm còn thiếu sót ....................................................................................... 50
PHẦN 1. TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)

1.1. Khái niệm về DLP

Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi
trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho
nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin
có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ
với các đối tác. Vì vậy vấn đề thất thoát dữ liệu trong doanh nghiệp luôn được
quan tâm kiểm soát và khắc phục bằng các giải pháp chống thất thoát dữ liệu
(Data Loss Prevention - DLP).
Các hiểm họa đối với hệ thống có thể gây thất thoát dữ liệu (Data Loss) được phân
loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động như sau:
- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc
quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công
việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ
xấu lợi dụng.
- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép.
- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp
lên hệ thống, như nghe trộm các gói tin trên đường truyền.
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt
động của hệ thống.
Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát
và giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biết
nội dung, quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài.
Giải pháp được thiết kế cho phép các tổ chức xây dựng những chính sách kiểm
soát hoạt động của nhân viên trên các ứng dụng email cá nhân và doanh nghiệp,
giao tiếp trên web và các hoạt động khác.
1.2. Các con đường dẫn đến mất mát dữ liệu

Những tác nhân ảnh hưởng đến thông tin:

Tự nhiên: thiên tai và tác động của môi trường (bão, lũ, động đất, khí hậu, hỏa
hoạn, ô nhiễm môi trường,…).
Attacker:
- Nghe lén trên mạng (Eavesdropping): là một phương pháp ra đời khá lâu
nhưng hiệu quả, kẻ tất công sử dụng các thiết bị mạng (router, card
mạng,…) và một chương trình ứng dụng (TCPDump, Ethereal,
Wireshark,…) để giám sát lưu lượng mạng, bắt các gói tin đi qua các thiết
bị này, để khắc phục vấn đề này cách tốt nhất là mã hóa dữ liệu trước khi
truyền chúng trên mạng.
- Giả mạo IP Address (IP Address Spoofing): là phương pháp tấn công cho
phép kẻ tấn công giả mạo địa chỉ IP của nạn nhân bao gồm các kỹ thuật
SYN flooding, TCP hijacking, ARP spoofing.
- Tấn công Password (Password-Based Attacks): là sử dụng cơ chế chứng
thực uername password, các phương pháp thông dụng như guessing, social
engineering, dictionary, password sniffing.
- Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu của cuộc tấn
công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng những
dịch vụ mà họ thường nhận được từ các máy chủ, cuộc tấn công có thể phát
sinh từ một máy tính (DoS) hoặc từ một nhóm máy tính (DDoS).
- Tấn công tầng ứng dụng (Application Attack): là khai thác những điểm yếu
trong các chương trình ứng dụng chạy trên các máy server như sendmail,
Postscript và FTP. Bằng cách khai thác những điểm yếu này, chủ thể tấn
công có thể chiếm quyền truy xuất vào các máy tính với quyền truy cập
cùng cấp với tài khoản đang sử dụng.
- Malicious Code: tấn công bằng các phần mền độc hại
 • Virus: là phần mềm tự sao chép và thực thi khi khởi chạy một
chương trình vật chủ, làm hại máy tính và sao chép chính nó để lây
nhiễm các máy tính khác trong hệ thống.
• Worm: là một chương trình đứng một mình (stand alone program),
thực thi bất kì thời điểm, gây nguy hiểm cho hệ thống nó thường trú.
• Trojan: ngụy trang kèm theo những ứng dụng thông thường, chức
năng chính là điều khiển máy tính từ xa, ăn cắp thông tin của nạn
nhân.
• Logic BOM: là chương trình con hoặc một lệnh được nhúng trong
chương trình, kích hoạt bởi những lệnh điều khiển có điều kiện.
Người dùng:
Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:
- Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông qua
đường Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web,
truyền tải dữ liệu nội bộ qua các kết nối từ xa (remote connection) hay qua
các kênh giao tiếp như Yahoo Messenger!, AOL, Skype, …
Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấn
công của attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viên
qua website, gửi nhận mail cá nhân, gửi nhận dữ liệu từ bên ngoài, điểu
khiển từ xa,…
- Data-at-Rest (dữ liệu lưu trữ): dữ liệu được lưu trữ trong thư mục chia sẽ
hoặc ổ đĩa của người dùng.
Ví dụ: Thất thoát dữ liệu có thể xảy ra khi hệ thống lưu trữ bị tấn công, các
chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm
độc hại, dữ liệu bị đánh cấp bởi người có đặc quyền sử dụng, quản lý dữ
liệu trong nội bộ,…
- Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như
copy data hoặc in ấn.
 Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữ
liệu bị rò rỉ ra bên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhập
liệu qua bàn phím, máy tính bị giám sát bởi key logger,…
Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thất thoát dữ liệu:
- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng.
- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận
chuyển trên mạng.
- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái
đang được lưu trữ, tài nguyên máy tính.

Hình 1.2.1: Mất mát dữ liệu từ phía người dùng

Bên cạnh đó theo báo cáo về vi phạm dữ liệu từ Verizon (verizonenterprise.com)

năm 2010 cho thấy các dữ liệu bị vi phạm ghi nhận chủ yếu liên quan đến các
nguy cơ từ nội bộ, các hình thức lừa đảo bằng kỹ năng xã hội (Social Engineering)
và sự tham gia của các tổ chức tội phạm.
Hình 1.2.2: Báo cáo về nguyên nhân thất thoát dữ liệu được thông kê năm
2010.
Cụ thể là:
Có tới 48% các vi phạm là từ phía trong nội bộ.
Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, trong đó 48% là do
người dùng, 40% là hacking, 28% là Social Engineering.
Còn đây là số liệu mới nhất của Verizon (verizonenterprise.com) cuối năm 2015
cho thấy nguy cơ mất mát dữ liệu từ nội bộ (Insider Misuse) giảm so với các năm
tuy nhiên vẫn chiếm tỉ lệ đáng kể.

Hình 1.2.3: Báo cáo về các sự cố an ninh qua các năm.

1.3. Hiện trạng mất mát dữ liệu trong doanh nghiệp

Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2015 – “Global Data Leakage
Report, H1 2015” của InfoWatch Analytical Center *InfoWatch là một dự án của
Kaspersky Lab hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tin
doanh nghiệp*

Có 723 tin tức về mất mát dữ liệu trên phương tiện thông tin đại chúng, cao hơn 10% so với
cùng kỳ năm 2014

Tấn công từ bên ngoài (external attacks) đứng 32%, cao hơn 9% cùng kỳ năm ngoái.
 Tổ chức chính phủ có sự sụt giảm tỷ lệ mất mát dữ liệu, nhưng đối với các công ty thương mại
tăng đến 75%

Công ty vận tải - cùng với các dịch vụ trực tuyến, các nhà bán lẻ, và các tổ chức y tế - là nguồn
lớn nhất của rò rỉ dữ liệu cá nhân.
90% sự rò rỉ liên quan đến thông tin cá nhân, hơn 262 triệu hồ sơ bị tổn hại bao gồm cả dữ liệu
tài chính. Đặc biệt, mất mát về bí mật thương mại, bí quyết kinh doanh tăng 1.6%

Nhân viên chịu gần 58% trách nhiệm cho các vụ rò rỉ, trong khi giám đốc điều hành là 1%
Kết luận:
Hiện nay, hầu hết các tổ chức và doanh nghiệp tại Việt Nam đều áp dụng CNTT
phục vụ trong việc hoạt động, kinh doanh và sản xuất nhằm mục đích tối ưu và
hiệu quả nhất. Điều này đồng nghĩa với việc thất thoát và rò rỉ thông tin sẽ ảnh
hưởng rất lớn đến việc hoạt động, kinh doanh và sản xuất của tổ chức, doanh
nghiệp.
Từ những số liệu thống kê kể trên, ta thấy rằng nếu tình trạng thất thoát dữ liệu nói
chung và thất thoát dữ liệu trong doanh nghiệp đã lên đến con số báo động trong
những năm gần đây. Các vụ tấn công từ bên ngoài, tình trạng nhân viên bên trong
ảnh hưởng đến dữ liệu công ty … cho thấy cần phải có một hoặc nhiều giải pháp
chống thất thoát dữ liệu hiện đại, toàn diện, có sự kết hợp của nhiều phía: công
nghệ, quy trình, chính sách, con người.

PHẦN 2. PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI

2.1. Những điểm yếu về bảo mật

Mô hình mạng hiện tại

Thông tin chi tiết:
- Quản trị theo mô hình Domain
- Router Cisco tích hợp firewall
- Thiết bị cân bằng tải kết nối internet
 - Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính
sách bảo mật khác.
- Chưa có chính sách vận hành hệ thống
- Chưa có chính sách về vấn đề an toàn thông tin trong hệ thống
- Chưa có chính sách sao lưu và phục hồi dữ liệu
- Tất cả các máy chủ đặt tại Data Center

Phân tích mô hình hiện tại:

- Không có firewall chuyên dụng dễ bị tấn công DoS, DdoS … để đánh cắp
dữ liệu
- In ấn tự do, không có sự quản lý tập trung
- Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di
động hoặc truy cập mạng, attacker có tình tấn công …
- Hệ thống mạng không có tính dự phòng - Khó khăn trong việc sao lưu và
phục hồi dữ liệu khi có sự cố xảy ra.
- Không có chính sách an ninh, nhân viên có thể sao chép dữ liệu qua USB,
gửi thông tin qua các internet mà không bị pháp hiện
- Không có sự phân chia luận lý giữa các phòng ban
- Chưa có cơ chế cập nhật bản vá lỗi cho client và server
- Chưa có hệ thống chủ động tìm kiếm, phát hiện và ngăn ngừa xâm nhập.
- Thiếu cơ chế bảo mật web, mail chuyên dụng tại gateway
- Thiếu cơ chế quản lý các nhân viên truy cập từ xa
- Thiếu việc triển khai các hệ thống giám sát hệ thống mạng (Network
Monitoring) cũng như chính sách triển khai baseline và theo dõi, ghi log
toàn bộ sự kiện xảy ra trong hệ thống.
- Hệ thống chỉ sử dụng một đường truyền mạng
- Khó mở rộng mô hình mạng

2.2. Những rủi ro về mất mát dữ liệu

2.2.1. Từ attacker

- Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng,
các giao thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp
dữ liệu. Ví dụ như attacker lợi dụng lỗ hổng SQL injection của máy chủ
web để tấn công và get cơ sở dữ liệu trong SQL.
- Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một
nhân vật đáng tin cậy để dò la và lấy cắp thông tin, ví dụ như các attacker
dùng email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được
gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá nhạy
cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn
đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho
tên trộm có thể thu thập được những thông tin của quý khách để tiến hành
các giao dịch bất hợp pháp sau đó.
- Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm
độc hại, hoặc các loại virut được tiêm vào các phần mềm trông như vô hại
để dụ người sử dụng nhiễm phải. Chúng có thể ăn cắp thông tin, phá hoại
dữ liệu máy tính và lây lan qua các máy khác.
- Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ
tấn công tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công
cụ nghe lén để bắt các gói tin, phân tích chúng để ăn cắp dữ liệu. Ví dụ như
thông tin tài khoản đăng nhập, chiếm quyền điều khiển của các máy để lấy
dữ liệu hoặc tấn công máy chủ…
- Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học
để hỏi thăm nhân viên về một số thông tin của phòng server, có bao nhiêu
thiết bị, thiết bị dùng hãng nào, có firewall hay không… để từ đó làm cơ sở
cho tấn công và đánh cắp dữ liệu.
 - Thông qua các kỹ thuật nghe lén: Các thông tin nhạy cảm dưới dạng bản
cứng không được hủy bỏ một cách thích hợp, thường thì chỉ được vứt vào
sọt rác. Attacker có thể thu thập được các thông tin này một cách dễ dàng.
- Phishing và Pre-Phishing: Attacker có thể dễ dàng lừa nhân viên truy cập
vào trang web độc hại, tải và cài đặt các keylogger ghi lại toàn bộ thông tin
trong máy nạn nhân.

2.2.2. Từ nhân viên

- Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng :
skype, yahoo, điện thoại… Nhân viên có thể dễ dàng đính kèm tài liệu nội
bộ của công ty và gửi nó đi thông qua các trình tin nhắn nhanh chuyên
dụng. Bằng cách tương tự, người dùng có thể gửi tiết lộ thông tin bí mật
thông qua phiên hội thoại (chat text)
- Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức
P2P để gửi file ra ngoài.
- Web mail: Nhân viên có thể sử dụng web mail như Yahoo, Google,
Hotmail có thể đính kèm file hay coppy nội dung vào phần message text để
gửi ra ngoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên
khó bị phát hiện hơn.
- Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viên
chọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhân
viên không kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất
có khả năng xảy ra), nhân viên bị lừa để gửi thông tin ra ngoài. Hoặc thông
qua các dịch vụ cloud storage miễn phí: Nhân viên có thể upload dữ liệu
nhạy cảm lên các hệ thống lưu trữ đám mây miễn phí như dropbox hay
Skydriver.
- Nhân viên có thể upload dữ liệu lên một FTP server trên internet để gửi
thông tin ra ngoài.
 - In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in,
copy ra bên ngoài.
- Dùng điện thoại, camera chụp lại tài liệu của công ty.
- Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên
khác chép dữ liệu của mình đem ra bên ngoài.
- Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc.

PHẦN 3. THIẾT KẾ HỆ THỐNG MỚI

3.1. Mô hình tổng quát

3.2. Các giải pháp công nghệ được sử dụng

3.2.1. Giải pháp IDS/IPS security trong mạng LAN

3.2.1.1. Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion
Prevention System)

Giới thiệu giải pháp

Được phát triển dựa trên cổ máy phát hiện xâm nhập nổi tiếng nhất thế giới -
SNORT® rules-based detection engine.
Sourcefire IPS kết hợp sức mạnh của các giải pháp phát hiện lỗ hổng bảo mật và
phát hiện nguy cơ dựa trên các dấu hiệu bất thường, với tốc độ lên tới 10 Gbps,
cho phép phân tích lưu lượng dữ liệu trên mạng và phòng chống các nguy cơ
nghiêm trọng cho mạng lưới. Có thể dùng để triển khai bảo vệ mạng tại vùng biên,
tại DMZ, trong mạng Core hoặc tại bất kỳ phân vùng mạng nào; có thể triển khai
phòng chống tích cực bằng cách xen giữa các lưu lượng cần bảo vệ hoặc giám
thính lưu lượng một cách thụ động với các thông báo hữu ích.
Các hệ thống IDS của Sourcefire rất dễ sử dụng và cung cấp một khả năng phòng
chống nguy cơ một cách toàn diện. Sourcefire IPS nổi bật ở khả năng phân tích
cao, tường trình mạnh mẽ và độ linh hoạt không gì sánh bằng.
Nhờ Sourcefire RNA™ (Real-time Network Awareness), người dùng có thể khai
thác Sourcefire IPS ở một mức độ cao cấp hơn nữa. RNA cho phép giám sát hoạt
động mạng 24x7, quản lý tài nguyên mạng trong thời gian thực - hệ điều hành,
dịch vụ mạng, ứng dụng, giao thức mạng sử dụng, các nguy cơ tiềm ẩn hiện hữu
trong mạng. Bằng việc tích hợp trong thời gian thực các thông tin mạng lưới vào
hệ thống IPS, RNA giúp tự động hóa cho các quá trình tiếp theo trong việc tinh
chỉnh IPS và đánh giá tầm ảnh hưởng của các biến cố an ninh trong mạng.
Các hệ thống IPS của Sourcefire có khả năng phòng chống các loại nguy cơ rất đa
dạng:
 Worms  IPv6 attacks  Application anomalies
 Trojans  DoS attacks  Malformed traffic
 Backdoor  Buffer overflows  Invalid headers
attacks  P2P attacks  Blended threats
  Spyware  Statistical  Zero-day threats
 Port scans anomalies  TCP reassembly & IP
 VoIP attacks  Protocol defragmentation
anomalies

Triển khai giải pháp

- 1 thiết bị IPS được đặt ở chế độ inline nằm giữa core switch và vùng Server
Farm để phát hiện và ngăn chặn các cuộc tấn công từ bất kỳ đâu (kể cả client)
vào Server Farm.
- 1 thiết bị IPS đặt giữa Firewall và vùng DMZ cho phép phát hiện, ngăn chặn
các cuộc tấn công từ internet vào DMZ.
- 1 thiết bị IPS đực đặt giữa tường lửa và hệ thống mạng bên trong để phát hiện
và ngăn chặn các cuộc tấn công từ bên ngoài vào.
- Sourcefire Defense Center™: là trung tâm quản lý của Sourcefire 3D System.
Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sự
kiện, thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các
xu hướng và quản lý các báo cáo. Tất cả các dữ liệu sự kiện sẽ được gửi từ
Sourcefire IPS Sensor về DC để phân tích và lưu trữ tập trung tại đây. DC
được thiết kế đặc biệt để có thể quản lý đến 100 IPS sensors và trên 100 triệu
events.

3.2.2. Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite

Giới thiệu giải pháp

McAfee Endpoint Protection Suite (EPS) là bộ sản phẩm tích hợp nhiều công nghệ
bảo mật của McAfee , nhằm tạo ra nhiều lớp bảo vệ cho hệ thống máy trạm, máy
chủ, ngăn chặn những nguy cơ và rủi ro về thất thoát dữ liệu đối với máy chủ, máy
trạm trong hệ thống.
Với bộ giải pháp bảo mật McAfee EPS chúng ta sẽ có được những lợi ích sau:
- McAfee EPS bao gồm tính năng Antivirus/Antispyware giúp cho các máy
trạm, máy chủ phòng chống hiệu quả trước các nguy cơ lây nhiễm
virus/Malware và các tấn công zero-day với công nghệ dựa trên mẫu, công
nghệ dựa trên phân tích hành vi và điện toán đám mây.
- Tính năng tường lửa cá nhân kiểm soát toàn diện luồng dữ liệu vào ra máy
chủ/máy trạm, phát hiện và ngăn chặn các luồng dữ liệu bất hợp pháp vào ra hệ
thống.
- Khả năng kiểm soát thiết bị ngoại vi giúp giảm thiểu tối đa các nguy cơ phát
tán virus/Malware qua USB, đồng thời đảm bảo tính tuân thủ của người dùng
 trong tổ chức về việc sử dụng thiết bị ngoại vi (chỉ được phép sử dụng thiết bi
ngoại vi mà tổ chức cho phép).
- Tính năng cảnh báo mức độ nguy hiểm/rủi ro của các website giúp người dùng
biết được website nào đáng tin cậy, website nào tiềm ẩn các nguy cơ tấn công.
- McAfee EPS cung cấp sẵn tính năng lọc virus/malware và phòng chống Spam
mail. Giảm thiểu nguy cơ lây lan virus, malware và Spam mail.
- Việc triển khai không gây ảnh hưởng tới người dùng cuối. Việc phân hoạch và
quản lý một cách dễ dàng. Giảm thiểu tối đa thời gian triển khai và cài đặt.
- cho phép quản trị phân hoạch, gộp nhóm tài nguyên (máy trạm, máy chủ) từ đó
dễ dàng xây dựng chính sách bảo mật cho từng nhóm tài nguyên, giúp giảm
thiểu tối đa thời gian triển khai cài đặt, xây dựng chính sách bảo mật cũng như
quản lý các máy trạm, máy chủ.

Triển khai giải pháp

Triển khai McAfee EPS xuống tất cả các máy trạm một cách tự động thông qua
một Agent duy nhất, McAfee Agent.
Thực hiện phân hoạch, gộp nhóm tài nguyên (máy chủ, máy trạm) để dễ dàng xây
dựng chính sách bảo mật cũng như quản lý các máy trạm, máy chủ.

3.2.3. Giải pháp backup dữ liệu sử dụng hệ thống SAN

SAN (Storage Area Network) là một mạng riêng tốc độ cao dùng cho việc truyền
dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ cũng như giữa các thiết bị
lưu trữ với nhau. SAN cho phép thực hiện quản lý tập trung và cung cấp khả năng
chia sẻ dữ liệu và tài nguyên lưu trữ. Hầu hết mạng SAN hiện nay dựa trên công
nghệ kênh cáp quang, cung cấp cho người sử dụng khả năng mở rộng, hiệu năng
và tính sẵn sàng cao.
Hê ̣ thố ng SAN đươ ̣c chia làm hai mức: mức vật lý và logic
 - Mức vật lý: mô tả sự liên kết các thành phầ n của ma ̣ng ta ̣o ra một hê ̣ thố ng
lưu trữ đồ ng nhất và có thể sử du ̣ng đồ ng thời cho nhiề u ứng du ̣ng và người
dùng.
- Mức logic: bao gồ m các ứng du ̣ng, các công cu ̣ quản lý và dịch vu ̣ đươ ̣c
xây dựng trên nề n tảng của các thiết bi ̣ lớp vật lý, cung cấp khả năng quản
lý hê ̣ thố ng SAN.

Ưu điểm của hệ thống SAN

- Có khả năng sao lưu dữ liê ̣u với dung lươ ̣ng lớn và thường xuyên mà không
làm ảnh hưởng đến lưu lươ ̣ng thông tin trên ma ̣ng.
- SAN đặc biệt thích hợp với các ứng dụng cần tốc độ và độ trễ nhỏ ví dụ
như các ứng dụng xử lý giao dịch trong ngành ngân hàng, tài chính.
- Dữ liê ̣u luôn ở mức đô ̣ sẵn sàng cao.
- Dữ liê ̣u đươ ̣c lưu trữ thố ng nhất, tập trung và có khả năng quản lý cao. Có
khả năng khôi phục dữ liê ̣u nế u có xảy ra sự cố .
 - Hỗ trơ ̣ nhiề u giao thức, chuẩ n lưu trữ khác nhau như: iSCSI, FCIP,
DWDM...
- Có khả năng mở rô ̣ng tốt trên cả phương diê ̣n số lươ ̣ng thiết bi,̣ dung lươ ̣ng
hê ̣ thố ng cũng như khoảng cách vật lý.
- Mức đô ̣ an toàn cao do thực hiê ̣n quản lý tập trung cũng như sử du ̣ng các
công cu ̣ hỗ trơ ̣ quản lý SAN.

3.2.4. Giải pháp web security

3.2.4.1. Giới thiệu giải pháp

Giải pháp chống thất thoát dữ liệu và bảo mật Web với McAfee Web
Gateway
McAfee là công ty chuyên về an toàn an ninh mạng, cung cấp các giải pháp bảo
mật toàn diện cho đối tượng khách hàng rộng khắp từ doanh nghiệp lớn, tổ chức
chính phủ, tới doanh nghiệp vừa và nhỏ, cũng như các khách hàng khác. Giải pháp
bảo vệ toàn diện cho phép phòng chống tấn công trên mạng, bảo vệ hệ thống máy
tính khỏi các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấn
công này được khai thác trên nhiều mức độ của hạ tầng mạng. McAfee cung cấp
giải pháp bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo mật toàn
vẹn cho hệ thống máy chủ, máy trạm, thông qua hai giải pháp: McAfee System
Protection Solution nhằm bảo mật cho hệ thống máy chủ và máy trạm và McAfee
Network Protection Solutions để đảm bảo khả năng bảo vệ và tốc độ của hệ thống
mạng.
Trong đó McAfee Network Protection Solutions là giải pháp bảo vệ trước những
tấn công cho cả mô hình mạng lớn và nhỏ. Giải pháp bảo vệ này bao gồm:
McAfee Foundstone® là hệ thống quản lý rủi ro và McAfee IntruShield® thành
phần phòng chống tấn công trên hệ thống mạng.
Nói đến bảo mật Web thì không thể không nhắc đến các giải pháp Network
Security: Là giải pháp bảo mật, phòng thủ có chiều sâu giúp bảo vệ hệ thống mạng
doanh nghiệp, các vùng mạng vành đai, vùng mạng core trước các tấn công của
virus, worm, hacker ... nhằm vào các ứng dụng của doanh nghiệp.
Trong đó sản phẩm điển hình hiệu quả nhất cho Bảo mật Web là: McAfee Web
Gateway (Webwasher): giải pháp kiể m soát an ninh cho doanh nghiê ̣p, phòng
chố ng những đoạn mã đô ̣c trước khi thâm nhâ ̣p vào hê ̣ thố ng mạng (trong môi
trường web), spyware, virus, phishing…
McAfee Web Gateway cung cấp một số ưu điểm sau:
- Chống được hầu hết các mối đe dọa đến từ môi trường web: virus, spyware,
malicious code, phishing …
- Hỗ trợ tất cả các giao thức duyệt web, chống dữ liệu bị thất thoát thông qua
con đường web như Wiki , web post, blog và hỗ trợ hầu hết các ứng dụng
web 2.0 thông qua một danh sách các từ khóa được định nghĩa sẵn (kể cả
giao thức SSL). Thực hiện mã hóa file khi được upload lên các cloud
storage hay thông qua một số trang web chia sẻ file thông dụng, cho phép
thực thi các chính sách kể cả trên thiết bị di động, điện thoại thông minh,
máy tính bảng, tự động hóa bảo mật các nguồn tài nguyên trong mạng kể cả
lúc tài nguyên đó không được quan tâm đến.
- Lọc các luồng dữ liệu mã hóa SSL thông qua chức năng SSL Deep Packet
inspections.
- Hỗ trợ tích hợp cùng với các giải pháp DLP khác.
- Đơn giản hóa trong việc quản trị trong một giao diện duy nhất

3.2.4.2. Triển khai

 Internet

1 2
Computer Computer 3
Web proxy Web gateway

User User

Hình 3.3.1.2.1: Mô hình triển khai McAfee Web Gateway.

Mô tả:
(1) User duyệt web bằng cách gởi yêu cầu đến Web Proxy Server
(2) Web Proxy Server sẽ tiến hành gửi các luồng dữ liệu duyệt web đến
McAfee Web Gateway
(3) Tại đây McAfee Web Gateway sẽ phân tích luồng dữ liệu vừa đến với các
luật đã được thiết lập trước đó, nếu phát hiện vi phạm từ các chính sách
McAfee Web Gateway đề ra, nó sẽ chuyển tiếp luồng dữ liệu đến Web
Proxy Server và chặn chúng lại.
(4) Nếu ngược lại các yêu cầu đều được phép, Web Proxy Server sẽ thực hiện
yêu cầu và trả kết quả về cho user.

3.2.5. Giải pháp email security

Nguy cơ: Hiện nay, các cá nhân, tổ chức, doanh nghiệp sử dụng email để giao tiếp
trong công việc, trong trao đổi thông tin, dữ liệu đều đang phải đối diện với những
nguy cơ tìm ẩn như mất mát dữ liệu, bị tấn công bởi virus, virus, spam, spyware,
malware từ email.
Trước tình trạng một khối lượng vô cùng lớn spam gia tăng đáng kể từng ngày đã
trở nên "lấn lướt" các email server doanh nghiệp và email người sử dụng. Spam
dẫn đến việc làm lãng phí tài nguyên của doanh nghiệp, giảm hiệu suất lao động
cũng như trở thành gánh nặng cho doanh nghiệp. Ngoài ra, các nguy cơ ngày càng
tinh tế về nội dung của Spam làm cho chúng trở thành một loại hình tấn công mới
rất nguy hiểm và khó bảo vệ. Chính vì lẽ đó, doanh nghiệp cần có giải pháp quản
lý lưu trữ email, chống spam, lọc nội dung mail, chống virus, mailware … từ
email và kiểm soát việc sử dụng email của nhân viên.

3.2.5.1 Giải pháp GFI Archive 2015

GFI Archiver cho phép các công ty lưu trữ và quản lý tập trung email, lịch và lịch
sử tập tin và dễ dàng truy cập vào các dữ liệu khi cần thiết. GFI Archiver là một sự
bổ sung cần thiết cho mọi chiến lược sao lưu vì nó giữ một phiên bản có sẵn của
các cuộc hội thoại email của người sử dụng cũng như các tập tin quan trọng.
Các tính năng nổi bật:
- Quản lý lịch sử thông tin điện tử của công ty bao gồm email, file đính kèm,
tập tin, các mục lịch, fax và SMS (văn bản) và các tin nhắn thoại được gửi
qua email.
- Tự động lưu trữ email để tăng hiệu quả, cải thiện hiệu suất máy chủ và
giảm sự phụ thuộc vào các tập tin PST không đáng tin cậy.
- File Archiving Assistant cho phép nhân viên và các nhóm làm việc trên tài
liệu được chia sẻ mà không dựa vào bên thứ ba lưu trữ tập tin trực tuyến.
- Tìm và nhận mail, file đính kèm và các tập tin cũ một cách nhanh chóng và
dễ dàng bằng cách sử dụng tìm kiếm nâng cao và chức năng restore.
- Xác định các vấn đề kinh doanh, giảm thiểu rủi ro pháp lý và quản lý năng
suất bằng cách báo cáo về các dữ liệu kinh doanh quan trọng được tìm thấy
trong kho lưu trữ của bạn.
 - Tùy chọn lưu trữ linh hoạt cho phù hợp với nhu cầu kinh doanh của bạn;
chọn để lưu trữ tất cả mọi thứ, hoặc chỉ các mục bạn cần thông qua các quy
tắc, email hoặc thư mục.
Triển khai:

- Cài đặt GFI Archiver trên Windows Server 2012. Kết nối Database Server
với Storage của vùng SAN.
- Khi có 1 email đến, dữ liệu từ email sẽ được lưu vào Database Server. Sau
đó được đưa qua GFI Archiver tích hợp IIS. Cuối cùng mới được truy cập
thông qua GFI Archiver đó.

3.2.5.2 Giải pháp GFI MailEssentials 2015

GFI MailEssentials cung cấp chống spam và bảo mật email cho các máy chủ mail.
Các tính năng nổi bật:
 - GFI MailEssentials có một loạt các công nghệ chống thư rác để cung cấp
một mức độ cao của bảo vệ cho doanh nghiệp của bạn.
- Kết hợp sức mạnh lên đến năm công cụ diệt virus để bảo vệ tốt hơn.
- Bảo vệ chống lại khai thác lỗ hổng email và email Trojans: Scan các lỗ
hổng bắt nguồn từ email và các file thực thi độc hại.
- GFI MailEssentials có thể được cài đặt trên các máy chủ khác nhau và đồng
bộ hóa các cấu hình trên tất cả các máy chủ, giúp việc quản lý đơn giản
hơn.
- Bảo vệ người dùng của bạn chống lại lừa đảo và phần mềm gián điệp
- Chặn phishing và spyware email ở mức độ máy chủ trước khi chúng đến
hộp thư của người dùng và gây ra tàn phá.
- Nhiều tùy chọn linh hoạt để đối phó với thư rác và email phần mềm độc
hại, cách ly người dùng với thư rác, blacklist, whitelist và whitelist tự động.
- Cấu hình quy tắc chính sách dựa trên người dùng hoặc nhóm dựa trên từ
khóa, biểu thức thông thường, file đính kèm và tiêu đề email.
- Một giao diện wen điều khiển cho phép cấu hình và quản lý tất cả anti-
spam và chức năng bảo mật email, xuất báo cáo.
- Công cụ quản lý email như quản lý tải POP3, từ chối email với toàn công
ty, quản lý tiêu đề, footer, danh sách máy chủ, và monitoring email.
Triển khai:
Thiết lập này thường được sử dụng để lọc thư rác trên một máy tính riêng biệt,
thường được cài đặt trong DMZ - sử dụng Windows Server 2003 trở lên. Trong
môi trường này một máy chủ (cũng được biết đến như là một gateway/perimeter
server) được thiết lập để chuyển tiếp email đến máy chủ mail. GFI MailEssentials
được cài đặt trên máy chủ gateway / ngoài do đó mà thư rác và email phần mềm
độc hại được lọc trước khi đến các máy chủ mail.

3.2.5.3 Giải pháp quản lý hoạt động của user – Spector360

Spector 360 là sản phẩm của hãng SpectorSoft giám sát hoạt động của nhân viên
trong hệ thống mạng của công ty.
Tính năng:
Giám sát chi tiết tất cả các hoạt động:
- Web Site Visited
- Chat/ Instant Mesaging Activity
- Email Activity
 - Online Searches
- Program Activity
- Network Activity
- Keystrokes Activity
- Files Transferred
- Screen Snapshots
- User Activity/ Inactivity
- Document Tracking

Triển khai:
Triển khai các tính năng trên tất cả các máy trong công ty:
 Email Activity: được thiết kế để đảm bảo rằng bạn có một hồ sơ rõ ràng tất
cả các email được gửi và nhận từ công ty. Bất cứ khi nào một email được
gửi hoặc nhận, Spector 360 tạo ra một bản sao ẩn (kể cả file đính kèm) và
lưu trữ nó để xem xét sau. Spector 360 cũng giữ một bản sao của email bị
xóa.
Spector 360 có khả năng lọc email dựa trên định dạng được sử dụng, file
đính kèm được phát hiện, các đặc điểm (như kích thước tập tin đính kèm).
Nếu bạn chỉ muốn sao lưu email từ một nguồn cụ thể thì bạn có thể lọc các
email nhận được từ các loại tài khoản được chỉ định.
 Files Transferred: Thống kê thông tin chi tiết về lượt tải, upload lên
internet.
 Document Tracking: Thống kê thời gian nhân viên sao chép các tập tin
vào đĩa mềm, đĩa Zip, đĩa CD, DVD, ổ đĩa USB, thẻ nhớ hoặc n ra các tài
liệu.
Các tính năng theo dõi tài liệu cũng cho phép theo dõi các tài liệu được in,
người đã sao chép hoặc in các tài liệu nhạy cảm. Theo dõi khi edit (tạo,
xóa, sửa, đổi tên ) một tập tin, theo dõi khi đích đến là các thiết bị sao lưu (
usb, CD ROM, ...), theo dõi tập tin được in, ...
  Network Activity: Spector 360 ghi thông tin về tất cả các kết nối Internet
được thực hiện trên một máy tính, ứng dụng được kết nối với Internet, thời
gian các kết nối được thực hiện, địa chỉ Internet kết nối với họ, những cổng
đang được sử dụng, và số lượng băng thông mạng được sử dụng khi kết
nối. Cung cấp tính năng Cho phép/Ngăn chặn các chương trình, các cổng
và địa chỉ IP cụ thể. Network Activity Recorder theo dõi
nhân viên vi phạm các chính sách của công ty bằng cách sử dụng băng
thông mạng với phương tiện truyền thông, tải tập tin, hoặc hoạt động
Internet khác.
Các ứng dụng kết nối Internet mà bạn có thể không nhận biết được và có
thể liên quan đến vấn đề bảo mật.
Ra quyết định chặn truy cập vào các cổng TCP, lĩnh vực Internet, loại bỏ
các ứng dụng vi phạm từ máy tính, hoặc sử dụng Chính sách của công ty
bạn.
 Chat/ Instant Mesaging Activity
Spector 360 đảm bảo rằng tất cả các cuộc trò chuyện và tin nhắn sẽ được tự
động ghi lại. Ghi lại tên của tất cả các bên liên quan trong một phiên chat /
IM và lưu lại một bản sao đầy đủ ở tất cả phòng chat AOL, AOL Instant
Messenger (AIM), Google Chat, MSN Messenger, Skype Chat và Yahoo
Messenger.
Chức năng Chat Blocking chặn các cuộc trò chuyện được chỉ định trước và
việc lạm dụng Chat và Nhắn tin.

3.2.5.4 Giải pháp mã hóa email với iSafeguard

iSafeguard là gói phần mềm gồm các giải pháp mã hóa bảo mật cao và chữ ký số.
Nó phù hợp cho các công ty. Phần mềm cho phép đăng ký mã hóa các tập tin, thư
mục, email và xác minh chữ ký điện tử.
iSafeguard ™ Enterprise được thiết kế cho các công ty đã triển khai Microsoft
Active Directory và Microsoft Certificate Service. iSafeguard ™ Enterprise rất dễ
dàng để triển khai một giải pháp mã hóa và chữ ký số trong tổ chức của bạn. Phục
hồi dữ liệu được hỗ trợ thông qua cấu hình trung ương.
Triển khai:
Trên tất cả các user của công ty.
1. Cài đặt phần mềm cài đặt từ xa
2. Xác định chính sách
Khi người dùng đăng nhập trong thời gian tới các phần mềm tự động được cài đặt
trên máy trạm của mình và chính sách áp dụng.

3.2.6. Giải pháp file security

3.2.6.1. Triển khai DFS Replicate và DFS Namespace lên server.

- Distributed File System (DFS) là một giải pháp cho phép người quản trị tập
trung các dữ liệu nằm rời rạc trên các file server về một thư mục chung và
thực hiện các tính năng replicate nhằm đảm bảo dữ liệu luôn sẵn sang khi
có sự cố về file server. Bao gồm 2 tính năng: DFS Namespace và DFS
Replication. Cung cấp 3 giải pháp :
• Sharing File Across banch office : người dùng đi ở site nào cũng có
thể truy cập các thư mục trên, và họ lưu dữ liệu trên các thư mục này thì
dữ liệu sẽ được replicate qua các site khác, nhờ vào DFS Replication
• Data collection: dữ liệu của các file server ở chi nhánh sẽ được
replicate tới văn phòng chính hoặc data center, điều này giúp tập trung
các dữ liệu về một nơi duy nhất. Sau đó người quản trị ở văn phòng
chính sẽ dùng các giải pháp backup để sao lưu toàn bộ dữ liệu.
• Data distribution: kết hợp DFS Namespace và DFS Replication cho
các thư mục như Software, Trainning, Document, Project. Người dùng
sẽ dễ dàng truy cập và tăng độ sẵn sàng khi có sự cố xảy ra (nhờ vào
tính năng DFS Replication), khi người dùng không truy cập được tới
DFS Server trong Site của họ, thì hệ thống sẽ tự redirect người dùng qua
DFS Server của Site khác. Dữ liệu vẫn đầy đủ.
- Giới hạn không gian sử dụng của từng nhân viên.
 - Giám sát việc sử dụng tài nguyên của nhân viên
- Phục hồi dữ liệu nếu lỡ bị xóa, thay đổi.
- Backup dữ liệu định kỳ để phục hồi khi cần thiết.
- Hoạt động nhanh, ổn định, bảo mật.
3.2.6.2. Sử dụng Audit Policy
Audit Policy cho phép ta giám sát hoạt động của hệ thống, cũng như tương tác
của người dùng, ghi nhận các hoạt động đó một cách có chọn lọc vào Security
log. Mục đích chính:
• Cung cấp chức năng giám sát hoạt động ( của hệ điều hành, của AD hay
user v.v) , ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của
hệ thống.
• Đề phòng các đợt tấn công trong server.
- Ưu điểm: giám sát giúp quản lý được công việc của user và có thể ghi ra báo
cáo khi cần thiết.
- Nhược điểm: làm công việc xử lý trên file server diễn ra chậm hơn do mỗi
lần có các sự kiện xảy ra phải ghi lại những sự kiện đó.
- Cách thực hiện: Thêm danh sách các nhân viên muốn giám sát vào và tùy
chọn các sự kiện Successful hoặc Failed phù hợp với quyền của từng nhân
viên trên ỗ đĩa.

3.2.6.3. Sử dụng NTFS Permission

Sử dụng NTFS Permission để phân quyền trên các thư mục chia sẽ cho các
Group chứa user trên AD.
Cách thực hiện:
- Share 2 thư mục với tên tương ứng
- Thiết lập Full Control cho Everyone ở Share Permission cho tấc cả các
thư mục share
- Cấu hình NTFS Permission:
• Gỡ bỏ đặc tính thừa hưởng trên ổ đĩa
 • Remove group nhân viên khỏi ổ đĩa
• Add các group tương ứng của phòng ban vào
• Thiết lập Full control cho tài khoản CREATE OWNER

3.2.6.4. Sử dụng Backup & Restore để sao lưu dữ liệu định kỳ và phục hồi khi
cần thiết.

- Ưu điểm: có thể kết hợp nhiều phương pháp sao lưu, giúp lấy lại giữ
liệu của bất cứ thời điểm nào nếu cần thiết.
- Nhược điểm: dữ liệu ngày càng tăng lên càng tốn nhiều thiết bị để lưu
trữ, thời gian sao lưu càng chậm.
- Sử dụng băng từ để lưu trữ (Tape Drive), giúp bảo quản tốt hơn là DVD
- Backup vào thời điểm ít nhân viên làm việc hoặc tấc cả đã nghỉ để tránh
trường hợp nhân viên cập nhật dữ liệu sau thời điểm backup của server.
Backup vào ban đêm khoảng 10h là tốt nhất
- Backup làm sao để dữ liệu tạo ra là ít nhất, thời gian ngắn nhất nhưng
vẫn đảm bảo đầy đủ, ổn định, có thể lấy lại dữ liệu của một ngày bất kỳ
trong tuần.
3.2.6.5. Sử dụng Quota để giới hạn dung lượng sử dụng trên ổ đĩa File server.
- Ưu điểm: Giới hạn được không gian sử dụng ỗ đĩa mạng cho nhân viên,
tránh tình trạng sử dụng quá nhiều làm ảnh hưởng cho file server, lãng
phí tài nguyên cũng như tốc độ truy xuất dữ liệu của những nhân viên
khác
- Nhược điểm: Đối với các phòng khác nhau phải thiết lập các mức hạn
ngạch khác nhau tùy vào nhu cầu, mỗi khi dữ liệu làm việc của một ai
đó đã đầy chúng ta phải điều chỉnh lại mức hạn ngạch. Không thể thiết
lập một lần để sử dụng mãi mãi.
- Cách thực hiện:
Mỗi nhân viên chỉ được sử dụng 3Gb trên ỗ đĩa cứng của file server
 Thông báo cho nhân viên khi dùng đến 2Gb, đến 3Gb thì không lưu dữ
liệu được nữa.
Thiết lập quota cho tấc cả các nhân viên như sau:
• Limit disk space: 3Gb
• Warning level: 2Gb
3.2.6.6. Sử dụng Shadow Copies để sao lưu và phục hồi dữ liệu bị xóa, thay
đổi tạm thời.
- Ưu điểm: restore lại một cách nhanh chóng, ghi lại nhiều version khác
nhau của một file cho phép thực hiện quá trình restore theo ngày giờ cụ
thể.
- Nhược điểm: chỉ khắc phục những sự cố nhỏ khi bị xoá mất file hay thư
mục.
- Cách thực hiện:
+ Enable chức năng Shadow Copies trên đĩa cứng file server.
+ Lập lịch để tự động sao lưu
+ Cho máy tính nhân viên cài đặt chương trình Previous Versions
Client trong thư mục C:\WINDOWS\system32\clients\twclient\x86
+ Để thực hiện phục hồi: từ máy nhân viên vào thư mục mà user đã
thực hiện thay đổi chọn Properties -> chọn Previous Versions -> Chọn
thời điểm đã sao lưu -> Chọn Restore.
3.2.6.7. Một số giải pháp khác

Sử dụng Raid 6 để sao lưu đồng thời tăng tốc hoạt động cho đĩa cứng File
server.
Sử dụng Raid giúp tăng tốc độ truy xuất dữ liệu cũng như bảo đảm việc sao lưu phục hồi
cho ỗ đĩa cứng hệ thống một cách an toàn. Có thể sử dụng Raid trên DC, File Server.
Sử dụng Sophos EndPoint Security chống thất thoát dữ liệu qua đường sao
chép
Sử dụng tính năng device control: không cho phép sao chép các dữ liệu quan
trọng vào các thiết bị nhớ di động như thẻ nhớ, USB,…
Tính năng Device Control sẽ giúp ta quản lý việc giao tiếp giữa Endpoint và các
thiết bị ngoại vi.
Sophos chia thiết bị ngoại vi thành 3 nhóm :
- Nhóm lưu trữ : gồm ổ mềm, ổ quang, thẻ nhớ, thiết bị lưu trữ giao tiếp
USB.
- Nhóm kết nối mạng : gồm modem, thiết bị không dây.
- Nhóm giao tiếp gần : gồm Bluetooth, hồng ngoại.
- Về cơ bản, sẽ có 2 quyền được áp dụng cho các thiết bị ngoại vi kể trên:
• Blocked : không cho sử dụng.
• Full Access : được toàn quyền sử dụng.

Với các thiết bị nhóm lưu trữ sẽ có thêm quyền :Read-Only : chỉ cho giao tiếp 1
chiều từ thiết bị đến Endpoint. Nghĩa là không cho sao chép dữ liệu từ Endpoint ra
thiết bị lưu trữ ngoài, chỉ cho sao chép từ thiết bị lưu trữ ngoài vào Endpoint.
Sử dụng tính năng Web Filtering: Những Website trên Internet được
SophosLABs phân loại theo 14 chủ đề khác nhau. Qua đó kiểm soát việc truy xuất
của người dùng vào những website tương ứng theo từng chủ đề. Người dùng có
thể được phép (Allow) hoặc bị chặn (Deny) hoặc được cảnh báo trước khi truy cập
(Warn). Đi kèm là một hệ thống ghi nhận và báo cáo về những người dùng cố ý
vượt qua cảnh báo hoặc cố gắng truy cập vào những website bị chặn.
Hơn thế nữa, việc kiểm soát trên luôn có hiệu lực cho dù người dùng đang làm
việc ở nhà hay bất kì đâu mà không cần phải cài đặt gì thêm
Tính năng Application Control: tạo ra các chính sách sử dụng phần mềm và
phân quyền một cách tường minh. Việc cài đặt và sử dụng các ứng dụng một cách
tùy ý dễ phát sinh các vấn đề trên hệ thống của bạn như:
• Nhiều ứng dụng chứa Trojan
• Nhiều ứng dụng làm tiêu hao băng thông mạng ngay cả khi bạn không sử dụng
• Các Portable Application rất khó kiểm soát
• Các ứng dụng chia sẻ ngang hàng (Peer-to-Peer) và tin nhắn tức thì (Instant
Messaging) thường làm ảnh hưởng đến chính sách an toàn thông tin
Tính năng Application Control giúp ta giải quyết các vấn đề trên. Các ứng dụng
phổ biến được Sophos phân tích và phân loại thành 46 chủ đề khác nhau.

PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT

4.1. Xây dựng qui trình

4.1.1. Xác định đối tượng

Chính sách được áp dụng rộng rãi cho toàn bộ nhân lực trong doanh nghiệp bao
gổm ban lãnh đạo, nhân viên chính thức và thực tập sinh. Toàn thể nhân viên có
trách nhiệm tuân thủ nghiêm ngặt chính sách doanh nghiệp đã đề ra, nếu có bất kì
rủi ro, sự cố, hay các tác nhân nào gây ảnh hưởng đến tính bảo mật thông tin và
tính khả dụng của chính sách thì phải trình báo ngay với bộ phận trưởng phòng IT
để kịp thời xử lý khắc phục.
Phạm vi áp dụng cụ thể như sau:
- Đối với ban lãnh đạo, giám đốc điều hành cần phổ biến rộng rãi chính sách
bảo mật thông tin của doanh nghiệp đến từng bộ phân trong công ty.
- Bộ phận IT có trách nhiệm hỗ trợ, hoạch định, thiết kế, triển khai chính
sách và kịp thời xử lý các rủi ro nếu có.
- Các trưởng phòng của các phòng ban trong doanh nghiệp cần phổ biến và
hướng dẫn nhân viên, thực tập sinh tuân thủ đúng đắn chính sách đã đề ra
và chịu trách nhiệm xử lý các vi phạm chính sách của nhân viên, thực tập
sinh.
- Mỗi nhân viên, thực tập sinh có trách nhiệm tuân thủ chính sách và đảm
bảo an toàn thông tin trong doanh nghiệp.

4.1.2. Xác định mục tiêu

Xây dựng môi trường làm việc an ninh, bảo mật. Chính sách xác định phạm vi xây
dựng hệ thống ISMS sao cho phù hợp nhất với doanh nghiệp (hoạt động kinh
doanh, vị thế của doanh nghiệp, tài sản doanh nghiệp). Chính sách này cung cấp
cách thức đảm bảo việc thỏa mãn khách hàng - thông qua cung cấp việc tin cậy mà
các thông tin cá nhân
được bảo vệ
 Tính liên tục của doanh nghiệp - thông qua quản lý rủi ro, phù hợp luật
pháp và sự cẩn trọng vấn đề bảo mật trong tương lai
 Phù hợp luật pháp - thông qua việc thấu hiểu các yêu cầu và quy định pháp
lý ảnh hưởng như thế nào đến tổ chức và khách hàng của họ
 quản lý rủi ro được cải thiện - thông qua chương trình làm việc tự động để
đảm bảo các hồsơ khách hàng, thông tin tài chính và tài sản trí tuệ được bảo
vệ tránh khỏi mất, trộm và hư hại.
 tăng khả năng cạnh trạnh với các doanh nghiệp - đặc biệt những nơi mà các
đặc tính kỹ thuật yêu cầu chứng nhận như một điều kiện tiên quyết để cung
ứng dịch vụ

Chính sách đáp ứng và duy trì:

 Tính bảo mật của thông tin
 Tính toàn vẹn của thông tin
 Tính sẵn sàng của thông tin
 Nhận thức và trách nhiệm của nhân viên về nhiệm vụ của mình trong việc
bảo đảm an toàn thông tin trong doanh nghiệp
 Cung cấp cơ sở chung cho tổ chức phát triển, thực hiện và đánh giá thực
hành quản lý an toàn thông tin

4.1.3. Xác định phương pháp

Hiện thực hệ thống quản lý an toàn thông tin (ISMS) phù hợp với tiêu chuẩn ISO
27001/27002. Chúng ta có thể:
 - Cho phép chia sẻ thông tin an toàn.
- Bảo vệ thông tin của tổ chức từ tất cả các mối đe dọa: nội bộ hoặc bên
ngoài, cố tình hay vô ý.
- Tính bảo mật của thông tin sẽ được đảm bảo
- Tính toàn vẹn của thông tin sẽ được duy trì.
- Tính sẵn có của thông tin đối với các quá trình kinh doanh có liên quan sẽ
được duy trì.
- Các yêu cầu về pháp luật và chế định, các ràng buộc hợp đồng với khách
hàng sẽ được đáp ứng.
- Việc đào tạo an toàn thông tin là sẵn có đối với mọi nhân viên.

4.2. Xây dựng chính sách

4.2.1. Quản lý thiết bị

Giải pháp quản lý quyền truy cập thiết bị giúp doanh nghiệp có thể giám sát và
hạn chế được các hành vi sao chép trên các thiết bị di động nhằm mục đích phòng
chống thất thoát các thông tin nhạy cảm của tổ chức.
Cấu hình bảo mật cần thiết cho các thiết bị mạng Firewall, thiết bị phát hiện và
ngăn ngừa xâm nhập IDS/IPS, Router, Switch,…
Firewall (Tường lửa)
Mục đích của việc sử dụng Firewall là:
- Bảo vệ hệ thống khi bị tấn công.
- Lọc các kết nối dựa trên chính sách truy cập nội dung.
- Áp đặt các chính sách truy cập đối với người dùng hoặc nhóm người dùng.
- Ghi lại nhật ký để hỗ trợ phát hiện xâm nhập và điều tra sự cố.
Cần thiết lập Access Control List cho Firewall từ chối tất cả các kết nối từ bên
trong Web Server ra ngoài Internet ngoại trừ các kết nối đã được thiết lập - tức là
chỉ từ chối tất cả các gói tin TCP khi xuất hiện cờ SYN. Điều này sẽ ngăn chặn
việc nếu như tin tặc có khả năng chạy các kịch bản mã độc trên Web Server thì
cũng không thể cho các mã độc nối ngược từ Web Server trở về máy tính của tin
tặc.
IDS/IPS (Thiết bị phát hiện/phòng, chống xâm nhập)
Các thiết bị IDS có tính năng phát hiện dấu hiệu các xâm nhập trái phép, còn các
thiết bị IPS có tính năng phát hiện và ngăn chặn việc xâm nhập trái phép của tin
tặc vào hệ thống. Như các thiết bị mạng, IDS/IPS cũng có thể bị tấn công và chiếm
quyền kiểm soát và do đó bị vô hiệu hóa bởi tin tặc. Vì vậy cần thiết đảm bảo thực
hiện một số tiêu chí khi triển khai và vận hành, gồm:
- Xác định công nghệ IDS/IPS đã, đang hoặc dự định triển khai.
- Xác định các thành phần của IDS/IPS.
- Thiết đặt và cấu hình an toàn cho IDS/IPS.
- Xác định vị trí hợp lý để đặt IDS/IPS.
- Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật (rule).
- Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc
không cảnh báo khi có xâm nhập (false negative).
Thiết đặt và cấu hình hệ thống máy chủ an toàn
Để vận hành một máy chủ an toàn, việc cần lưu ý đầu tiên là luôn cập nhật phiên
bản và bản vá mới nhất cho hệ thống. Ngoài ra, với mỗi loại máy chủ khác nhau sẽ
có những biện pháp thiết đặt và cấu hình cụ thể để đảm bảo vận hành an toàn.
Hệ thống máy chủ Linux
- Đối với hệ thống cài đặt mới thì phải đảm bảo một số yêu cầu sau:
• Khả năng hỗ trợ từ các bản phân phối (thông tin vá lỗi, thời gian cập
nhật, nâng cấp, kênh thông tin hỗ trợ kỹ thuật).
• Khả năng tương thích với các sản phẩm của bên thứ 3 (tương thích giữa
nhân hệ điều hành với các ứng dụng, cho phép mở rộng module).
• Khả năng vận hành và sử dụng hệ thống của người quản trị (thói quen,
kỹ năng sử dụng, tính tiện dụng).
- Tối ưu hóa hệ điều hành về các mặt sau:
 • Chính sách mật khẩu: sử dụng cơ chế mật khẩu phức tạp (trên 7 ký tự và
bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt và chữ số) nhằm chống
lại các kiểu tấn công brute force.
• Tinh chỉnh các thông số mạng: tối ưu hóa một số thông tin trong tập tin
/etc/sysctl.conf.
• Cho phép hoặc không cho phép các dịch vụ truy cập đến hệ thống thông
qua hai tập tin /etc/hosts.allow và /etc/host.deny.
• Gỡ bỏ các dịch vụ không cần thiết: việc gỡ bỏ các gói, dịch vụ không
cần thiết sẽ hạn chế khả năng tiếp cận của kẻ tấn công và cải thiện hiệu
năng của hệ thống.
• Điều khiển truy cập: chỉ định các truy cập được phép đến hệ thống
thông qua tập tin /etc/security/access.conf, /etc/security/time.conf,
/etc/security/limits.conf, giới hạn tài khoản được phép sử dụng quyền
sudo thông qua tập tin /etc/pam.d/su.
• Sử dụng kết nối SSH thay cho các kênh kết nối không an toàn như
Telnet, FTP, v.v...
• Quản lý hệ thống ghi nhật ký (log) một cách tập trung và nhất quán
nhằm phục vụ cho mục đích điều tra khi có sự cố xảy ra.
Hệ thống máy chủ Windows
Máy chủ Windows được sử dụng khá phổ biến, việc bảo vệ cho máy chủ Windows
là thực sự cần thiết. Để đảm bảo cho hệ thống cần thực hiện một số biện pháp sau:
- Đối với các dịch vụ và cổng:
• Các dịch vụ đang chạy thiết lập với tài khoản có quyền tối thiểu.
• Vô hiệu hóa các dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP,
Telnet và các dịch vụ không cần thiết khác nếu không có nhu cầu sử
dụng.
• Nếu là ứng dụng web thì chỉ mở cổng 80 (và cổng 443 nếu có SSL).
- Đối với các giao thức:
 • Vô hiệu hóa WebDAV nếu không sử dụng bởi ứng dụng nào hoặc nếu
nó được yêu cầu thì nó phải được bảo mật.
• Vô hiệu hóa NetBIOS và SMB (đóng các cổng 137, 138, 139 và 445).
- Tài khoản và nhóm người dùng:
• Gỡ bỏ các tài khoản chưa sử dụng khỏi máy chủ.
• Vô hiệu hóa tài khoản Windows Guest.
• Đổi tên tài khoản Administrator và thiết lập một mật khẩu mạnh.
• Vô hiệu hóa tài khoản IUSR_MACHINE nếu nó không được sử dụng
bởi ứng dụng khác.
• Nếu một ứng dụng khác yêu cầu truy cập anonymous, thì thiết lập tài
khoản anonymous có quyền tối thiểu.
• Chính sách về tài khoản và mật khẩu phải đảm bảo an toàn, sử dụng cơ
chế mật khẩu phức tạp (trên 7 ký tự và bao gồm: ký tự hoa, ký tự
thường, ký tự đặc biệt và chữ số).
• Phải giới hạn Remote logons. (Chức năng này phải được gỡ bỏ khỏi
nhóm Everyone).
• Tắt chức năng Null sessions (anonymous logons).
- Tập tin và thư mục:
• Tập tin và thư mục phải nằm trên phân vùng định dạng NTFS.
• Tập tin nhật ký (log) không nằm trên phân vùng NTFS hệ thống.
• Các nhóm Everyone bị giới hạn (không có quyền truy cập vào
\Windows\system32).
• Mọi tài khoản anonymous bị cấm quyền ghi (write) vào thư mục gốc.
- Tài nguyên chia sẻ:
• Gỡ bỏ tất cả các chia sẻ không sử dụng (bao gồm cả chia sẻ mặc định).
• Các chia sẻ khác (nếu có) cần được giới hạn (nhóm Everyone không
được phép truy cập).
- Các phiên bản vá lỗi:
• Cập nhật các phiên bản mới nhất.
 • Theo dõi thông tin cập nhật từ nhiều nguồn khác nhau.
• Nên triển khai cập nhật trên hệ thống thử nghiệm trước khi cập nhật vào
hệ thống thật.
Quản lý các thiết bị lưu trữ di động (USB, PC card reader, ổ cứng di động), CD,
DVD, Blu-ray, Đĩa mềm, Modem, Wireless, Bluetooth, Hồng ngoại,… cho phép
doanh nghiệp ngăn chặn việc sử dụng thiết bị phần cứng bên ngoài, các phương
tiện lưu trữ di động, kết nối không dây (wireless) trên máy tính. Điều này giúp
giảm đáng kể việc mất mát dữ liệu của doanh nghiệp từ nhân viên nội bộ và tin
tặc.
- Blocked: Chặn thiết bị, nếu thiết bị được thiết lập tính năng này thì thiết bị
đó không thể kết nối đến máy tính.
- Full access: Có mọi quyền truy cập trên thiết bị.
- Read only: Thiết bị chỉ có quyền đọc, không thể chép dữ liệu vào thiết bị.
Ví dụ: người dùng muốn các USB chỉ có quyền đọc, không thể chép dữ liệu
từ máy tính vào USB thì có thể yêu cầu cấu hình tính năng Read only trên các thiết
bị lưu trữ di động.
- Block Bridged: Chặn kết nối Bridge giữa mạng công ty và một mạng
không phải của công ty. Chỉ áp dụng cho Modem và Wireless.
- Loại trừ 1 thiết bị xác định trước.
Ví dụ: chặn tất cả các kết nối USB vào mạng công ty, trừ USB của Anh A
là có thể kết nối và chép dữ liệu bình thường.
4.2.2. Quản lý con người

Phạm vi: Áp dụng cho tất cả nhân viên của công ty: bao gồm nhân viên toàn thời
gian, bán thời gian, thực tập sinh …), nhà thầu và người sử dụng bên thứ ba.
4.2.2.1. Trước khi làm việc
Để đảm bảo rằng các nhân viên, nhà thầu và người sử dụng của bên thứ ba hiểu rõ
trách nhiệm của họ, và thích hợp cho các vai trò mà họ đang xem xét, và làm giảm
nguy cơ của hành vi trộm cắp, lừa đảo hoặc lạm dụng các phương tiện.
Chính sách:
 Nhân viên, nhà thầu và người sử dụng của bên thứ ba được liệt kê chi tiết
tất cả những quy định về trách nhiệm của mình trong việc bảo vệ an toàn
thông tin. Sau khi đồng ý với những yêu cầu được nêu trong hợp đồng lao
động, hợp đồng với nhà thầu và người sử dụng, các bên có liên quan phải
tuân thủ nghiêm ngặt theo những điều khoản đã ghi.

4.2.2.2. Trong khi làm việc

Mục tiêu: Để đảm bảo rằng tất cả các nhân viên, nhà thầu và người sử dụng của
bên thứ ba nhận thức của các mối đe dọa an ninh thông tin và các mối quan tâm,
trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị để hỗ trợ cho chính sách
an ninh tổ chức trong quá trình làm việc bình thường. Đảm bảo được trang bị các
kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức
trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra

Chính sách:
 Ban giám đốc có trách nhiệm quản lý việc đảm bảo an toàn thông tin trong
công ty bằng các quy định, kiểm tra, kiểm soát mỗi ngày.
 Khi có bất kỳ sự cố nào, người trực tiếp gây ra nó sẽ chịu trách nhiệm, bị
xử lý kỷ luật theo quy định. Người quản lý, giám sát của người đó cũng sẽ
bị xử lý kỷ luật tùy trường hợp.
 Nhân viên không được cung cấp thông tin đăng nhập, mật khẩu email, các
tài khoản kết nối với dữ liệu của công ty cho bất cứ ai, thậm chí là các
thành viên trong gia đình.
 Khi nhân viên, nhà thầu kết nối với dữ liệu của công ty phải chịu trách
nhiệm về việc đảm bảo an toàn thông tin đó. Phải đảm bảo các giải pháp
kết nối dữ liệu là đúng tiêu chuẩn, nếu không, phải có sự cho phép của công
ty.
  Thông tin mật và tuyệt mật, nhạy cảm không được trao đổi bằng bất kỳ
hình thức nào với người không có quyền sử dụng chúng hoặc những người
có nghi vấn giả mạo là người có quyền sử dụng chúng. (Người có nghi vấn
giả mạo là những người không trực tiếp đối thoại, người chưa xác định
chính xác nhân thân mà liên lạc trực tiếp hoặc gián tiếp: qua email, điện
thoại, bàn tiếp tân … yêu cầu tiết lộ thông tin để phỏng vấn, điều tra hoặc là
nhân viên công ty nhưng quên mật khẩu). Phải báo ngay cho quản lý, người
giám sát về hành vi trên.
 Tất cả nhân viên phải được tập huấn quy trình bảo đảm an toàn thông tin từ
khi bắt đầu trở thành nhân viên.
 Bộ phận quản lý thông tin có quyền giám sát việc sử dụng internet của tất
cả các thiết bị đang kết nối với mạng của công ty.
 Thông tin chi tiết về thời gian, nội dung của phiên kết nối mạng của nhân
viên công ty với internet bao gồm: duyệt web, nhắn tin instant message,
email, trao đổi , chia sẻ tập tin phải được cung cấp cho nhân viên của bộ
phận IT khi có yêu cầu.
 Bộ phận IT có toàn quyền ngăn chặn, giới hạn các trang web, giao thức trao
đổi thông tin không phù hợp với công ty. Nội dung và quy định ngăn chặn,
giới hạn của bộ phận IT do ban Giám đốc công ty quy định chi tiết.

4.2.2.3. Chấm dứt và thay đổi việc làm

Tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba phải trả lại tất cả
các
Tài sản của tổ chức sở hữu của họ khi kết thúc làm việc, hợp đồng hoặc thỏa thuận
của họ.

Chính sách:
  Sau khi kết thúc hợp đồng, nhân viên, nhà thầu, người sử dụng bên thứ 3 có
trách nhiệm bàn giao lại toàn bộ tài sản thuộc sở hữu của công ty.
 Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập trước khi kết thúc hợp
đồng. Nếu chưa, phải báo ngay cho bộ phận chuyên trách.
 Khi nhân viên thay đổi vị trí làm việc trong công ty, nhân viên phải có trách
nhiệm trả lại những bàn giao lại tài sản không thuộc sở hữu cá nhân cho nơi
làm việc.
 Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập vào phòng ban, thông
tin có liên quan đến vị trí cũ.

4.2.3. Quản lý truy cập

- Các nhân viên có thể truy cập, sử dụng hoặc chia sẻ thông tin độc quyền chỉ
trong phạm vi được ủy quyền và nó thực sự cần thiết để thực hiện nhiệm vụ
công việc được giao.
- Bộ phận IT có trách nhiệm tạo các hướng dẫn liên quan đến sử dụng của
các cá nhân trên các hệ thống mạng Internet/Intranet/Extranet. Trong
trường hợp không có các chính sách như vậy, nhân viên phải được hướng
dẫn bởi về việc sử dụng và nếu có bất kỳ vấn đề gì, nhân viên cần tham
khảo ý kiến trưởng phòng của phòng ban mà họ đang làm việc.
- Mọi hoạt động của người dùng trong hệ thống đều sẽ được ghi log lại.
- Tất cả các thiết bị di động và máy tính có kết nối với mạng nội bộ phải tuân
thủ các chính sách quyền truy cập tối thiểu.
- Tất cả các thông tin bí mật của công ty được lưu trữ phân tán trên hai file
server, được phân quyền và gán nhãn tự động bằng Windows Server 2012
Dynamic Access Control kết hợp windows Right Management Services và
được tự động mã hóa.Không có nhân viên nào được phép truy xuất những
thông tin này trừ ban lãnh đạo của công ty.
- Mức độ sử dụng mật khẩu phải tuân thủ các chính sách mật khẩu.
 - Tất cả các nhân viên phải cực kỳ cẩn trọng khi mở các file đính kèm trong
email nhận được từ người gửi không rõ, vì có thể chứa phần mềm độc hại.
- Cấm sao chép trái phép các tài liệu có bản cứng.
- Các nhân viên không được phép tiết lộ mật khẩu tài khoản của mình cho
người khác hoặc cho phép những người khác sử dụng tài khoản của minh,
bao gồm cả gia đình khi đang thực hiện công việc tại nhà.
- Cấm mọi hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng
bao gồm: cài đặt các malicious code, tấn công từ chối dịch vụ, giả mạo hay
ăn cắp các thông tin của các nhân viên khác.
- Nhân viên bị cấm trong việc tiết lộ các thông tin bí mật của công ty trên các
trang blog, trên các mạng xã hội như Facebook, Twitter, Google Plus,…

4.2.4. Quản lý thông tin

3.3.3.7. Phân loại thông tin

- Thông tin bình thường: là những thông tin ngoài công việc, không liên quan
đến công ty, được trao đổi hàng ngày giữa các nhân viên trong công ty với
nhau (chuyện gia đình, tình cảm, đời sống hằng ngày).
- Thông tin nhạy cảm: là những thông tin liên quan đến công việc trong nội
bộ công ty giữa nhân viên với nhân viên hoặc nhân viên với khách hàng
(doanh thu, lợi nhuận, tiền lương, PR, chăm sóc khách hàng).
- Thông tin mật: là những thông tin quan trọng của công ty, chỉ những người
có quyền hạn thuộc công ty mới được biết (thông tin cá nhân của nhân viên,
khách hàng, username, password, hợp đồng, thông tin đối tác).

- Thông tin tuyệt mật: là những thông tin mang tính chiến lược kinh doanh,
định hướng của công ty (bản thiết kế, kế hoạch).
 3.3.3.8. Chính sách quản lý thông tin

Đối với thông tin bình thường: nhân viên được tùy ý sử dụng, trao đổi ngoài giờ
làm việc.
Đối với thông tin nhạy cảm:
- Các nhân viên phải đảm bảo rằng tất cả các thông tin nhạy cảm ở dạng bản
cứng hoặc tài liệu điện tử phải an toàn trong khu vực làm việc của mình.
- Máy tính của mỗi nhân viên phải được khóa lại khi không làm việc và được
tắt hoàn toàn khi hết giờ làm việc.
- Những tài liệu lưu hành nội bộ không được để trên bàn làm việc mà phải
được cất trong một ngăn kéo và được khóa cẩn thận khi nhân viên đi ra
ngoài hoặc khi hết giờ làm việc.
- Nhân viên không được viết mật khẩu cá nhân của mình lên giấy dán,
notebook, hay những vị trí dễ tiếp cận khác.
- Các nhân viên không được phép tiết lộ mật khẩu tài khoản của mình cho
người khác hoặc cho phép những người khác sử dụng tài khoản của minh,
bao gồm cả gia đình khi đang thực hiện công việc tại nhà.
- Nhân viên không được tự ý tiết lộ các thông tin liên quan đến công ty trên
các trang blog, trên các mạng xã hội như Facebook, Twitter, Google
Plus,…
Đối với thông tin mật:
- Bao gồm tất cả các chính sách trên.
- Thông tin cá nhân, username, password được lưu trữ trong các server phải
được đặt trong những phòng đặc biệt, được khóa chắc chắn và được giám
sát liên tục qua camara, chỉ có nhân viên IT phụ trách mới được phép tiếp
cận.
- Các văn bản, giấy tờ quan trọng phải được lấy ra khỏi máy in ngay lập tức
sau khi in xong.
 - Tất cả dữ liệu mật được lưu trữ trong các thiết bị ngoại vi như CD-ROM,
DVD hay USB đều phải được mã hóa và đặt password.
Đối với thông tin tuyệt mật:
- Bao gồm tất cả các chính sách trên.
- Tất cả các tài liệu, giấy tờ sau khi không còn được sử dụng phải được băm
nhỏ trong máy cắt giấy và thùng xử lý dữ liệu bí mật phải được khoá cẩn
thận.
- Bảng trắng được sử dụng trong các cuộc hội họp cần phải được xóa sạch
ngay sau khi cuộc họp kết thúc.
- Tất cả máy in và máy fax phải được xóa hết dữ liệu, giấy tờ ngay sau khi
chúng được in.
- Tất cả thông tin tuyệt mật của công ty được lưu trữ phân tán trên hai file
server, được phân quyền, gán nhãn tự động bằng Windows Server 2012
Dynamic Access Control kết hợp Right Management Services (cho phép
người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in
tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn của
tài liệu) và được tự động mã hóa. Không có nhân viên nào được phép truy
xuất những thông tin này trừ ban lãnh đạo của công ty.

PHẦN 5. KẾT LUẬN

5.1 Những điểm đạt được

- Nhóm đã tìm hiểu được hiện trạng thất thoát dữ liệu của các doanh nghiệp
hiện nay, cũng như những con đường dẫn đến thất thoát dữ liệu. Nắm được
các khái niệm về thất thoát dữ liệu.
- Phân tích được những điểm yếu về bảo mật trong mô hình mạng hiện tại.
- Xác định được những rủi ro về thất thoát dữ liệu đến từ attacker hoặc thậm
chí là từ nhân viên trong công ty.
 - Xây dựng và triển khai được mô hình hệ thống mới, có sự kết hợp giữa các
giải pháp, công nghệ bảo mật với những qui định, chính sách về quản lý
con người. Góp phần giảm thiếu tối ta tình trạng thất thoát dữ liệu trong các
doanh nghiệp hiện tại.

5.2 Những điểm còn thiếu sót

- Thất thoát dữ liệu là một vấn đề khá rộng lớn, với những gì mà nhóm em đã
tìm hiểu được về các con đường dẫn đến thất thoát dữ liệu trong doanh
nghiệp chỉ có giá trị trong hiện tại. Với sự phát triển vượt bậc của khoa học
công nghệ hiện nay thì trong tương lai có thể sẽ có thêm nhiều con đường
khác dẫn đến thất thoát dữ liệu mà nhóm vẫn chưa nhìn ra được.
- Tương tự vậy, đối với những công nghệ và qui trình, chính sách mà nhóm
đề xuất chỉ phù hợp trong thời điểm hiện tại, cũng như chỉ đáp ứng được
một số nhu cầu nhất định của doanh nghiệp.